การติดตั้ง Shibboleth Single Sign-On
ตอนที่ 13 - การปรับแต่งหน้าล็อกอิน (ตอนจบ)

21. การทำให้หน้าล็อกอินแตกต่างกันไปแต่ละแอพพลิเคชัน

หากเราต้องการให้หน้าล็อกอินแตกต่างกันไปในแต่ละแอพพลิเคชัน เช่น ปัจจุบันเรามีแอพพลิเคชันอยู่ 3 ตัวคือ app1, app2 และ app3 แต่ไฟล์ที่เราใช้ทำหน้าล็อกอินจะเป็นไฟล์เดียวกันทั้งหมดคือไฟล์ login.jsp ที่อยู่ในโฟลเดอร์ apache-tomcat-6.0.18\webapps\idp ดังนั้นหากเราต้องการให้ผู้ใช้เห็นหน้าล็อกอินแตกต่างกันไปในแต่ละแอพพลิเคชัน เราจำเป็นต้องแก้ไขโปรแกรมที่ Shibbolet IdP เขียนไว้ให้ในหน้า login.jsp นั่นเอง

21.1 ดึงชื่อแอพพลิเคชันผ่านทาง _shibstate_xxx

จากการสำรวจดูในค่า Cookie พบว่า Shibboleth SP จะฝังตำแหน่งที่ผู้ใช้รีเควสต์เข้ามาไว้ในคุ๊กกี้ชื่อว่า _shibstate_xxxx โดยตัว xxxx ด้านหลังเป็นรหัสตัวเลขที่ SP สร้างขึ้นมาและเปลี่ยนแปลงไปเรื่อย ดังนั้นวิธีง่ายๆที่เราจะได้ความแตกต่างกันในแต่ละแอพพลิเคชันคือ เอาชื่อแอพพลิเคชันที่ติดพาธ URL ที่อยู่ในคุ๊กกี้ตัวนี้
เปิดไปที่ไฟล์ login.jsp ของ IdP ปกติไฟล์นี้จะอยู่ในโฟลเดอร์ apache-tomcat-6.0.18\webapps\idp เปิดขึ้นมาแก้ไขโดยเติมโปรแกรมเข้าไปดังนี้
ซอร์สโค้ด 6 ไฟล์ login.jsp ที่ใช้เป็นหน้าล็อกอินของ Shibboleth IdP (หรือก็อปปีไฟล์ login.jsp นี้ได้โฟลเดอร์ setup/extra)
<%@page import="java.util.*" %>
<%@page import="javax.servlet.*" %>
<%@page import="javax.servlet.http.*" %>
<%!
private Map titles = new Hashtable();
private Map styles = new Hashtable();

public void init() throws ServletException {
    super.init();
    titles.put("app1", "Application 1");
    titles.put("app2", "Application 2");
    titles.put("app3", "Application 3");
   
    styles.put("app1", "app1.css");
    styles.put("app2", "app2.css");
    styles.put("app3", "app3.css");
}

public String getAppName(HttpServletRequest request) {
    Cookie[] cookies = request.getCookies();
    for(int i = 0; i < cookies.length; i++) {
       if(cookies[i].getName().startsWith("_shibstate")) {
           String value = cookies[i].getValue();
           int start = value.lastIndexOf("%2F");
           return value.substring(start + 3);
       }
    }
    return "";
}

public String getTitle(String appName) {
    String str = (String)titles.get(appName);
    if(str == null) return "";
    return str;
}

public String getStyle(String appName) {
    String str = (String)styles.get(appName);
    if(str == null) return "";
    return str;
}
%>
<%
String appName = getAppName(request);
String title = getTitle(appName);
String style = request.getContextPath() + "/" + getStyle(appName);
%>
<html>

    <head>
        <title>Shibboleth Identity Provider - <%= title %> Login</title>
        <link rel="stylesheet" href="<%= style %>" type="text/css"/>
    </head>

    <body>
       <img src="<%= request.getContextPath() %>/images/logo.jpg" />
       <h2>Shibboleth Identity Provider Login</h2>
      
       <% if ("true".equals(request.getAttribute("loginFailed"))) { %>
       <p><font color="red">Authentication Failed</font></p>
       <% } %>
      
       <% if(request.getAttribute("actionUrl") != null){ %>
           <form action="<%=request.getAttribute("actionUrl")%>" method="post">
       <% }else{ %>
           <form action="j_security_check" method="post">
       <% } %>
       <table>
           <tr>
              <td>Username:</td>
              <td><input name="j_username" type="text" tabindex="1" /></td>
           </tr>
           <tr>
              <td>Password:</td>
              <td><input name="j_password" type="password" tabindex="2" /></td>
           </tr>
           <tr>
              <td rowspan="2"><input type="submit" value="Login" tabindex="3" /></td>
           </tr>
       </table>
       </form>
    </body>
   
</html>
สังเกตว่าเราสร้างเมธอด getAppName() ที่ดึงชื่อแอพพลิเคชันจากคุ๊กกีและนำชื่อแอพพลิเคชันนั้นมาเลือกว่าจะใช้ title และ style เป็นอะไร

2.2 ก็อปปีไฟล์ CSS ที่เตรียมไว้สำหรับแต่ละแอพพลิเคชัน

ให้ก็อปปีไฟล์ app1.css, app2.css และ app3.css จากโฟลเดอร์ setup/extra ไปวางไว้ใน apache-tomcat-6.0.18\webapps\idp ดังนี้

รูปภาพ 125 ไฟล์ css ที่จำเป็นต้องใช้เพื่อให้แตกต่างกันไปแต่ละแอพพลิเคชัน
หลังจากนั้นทดลองเข้าไปที่ http://127.0.0.1/app1 ใหม่อีกครั้งจะปรากฏหน้าล็อกอินดังนี้

รูปภาพ 126 หน้าล็อกอินของ app1 ใช้ app1.css เป็นไฟล์กำหนดรูปแบบ และหัวหน้าต่างมีชื่อว่า Application 1
ให้ทดลองเข้าใหม่เป็น http://127.0.0.1/app2 และ http://127.0.0.1/app3 สังเกตว่าหน้าล็อกอินแต่ละแอพพลิเคชันจะแตกต่างกันไปตามรูปแบบที่กำหนดไว้ในไฟล์ CSS

21. บทสรุป

เมื่อมาถึงขั้นตอนนี้ถือว่าเราได้ประสบความสำเร็จในการติดตั้ง Shibboleth 2 Single Sign-On เพื่อเชื่อมโยงระบบการล็อกอินของ PHP และ Java เข้าด้วยกันแล้ว อย่างไรก็ตามหากท่านจะนำไปใช้งานจริง อาจจะต้องปรับแต่งค่าคอนฟิกให้ตรงกับสภาพแวดล้อมของท่านเอง เช่น ชื่อเครื่องเซิร์ฟเวอร์ และหมายเลข IP Address ต่างๆเป็นต้น นอกจากนี้ท่านสามารถค้นคว้ารายละเอียดเพิ่มเติมได้ที่ เว็บไซต์ของ Shibboleth ที่ตำแหน่ง URL HTUhttps://spaces.internet2.eduUTH


ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

การติดตั้ง Shibboleth Single Sign-On
ตอนที่ 12 - การทำ SLO (Single Log-out)

รูปภาพ
19. การติดตั้ง Shibboleth แบบไม่ใช้ SSL ปัญหาที่เราจะพบในการใช้ SSL คือ ปัจจุบันเราใช้ Self Certificate X509 v3 ในการเข้ารหัสเพื่อทำ SSL ระหว่างตัว SP และ IdP แต่หากนำไปใช้งานกับ Internet Explorer จะพบข้อความแจ้งเตือนทุกครั้งก่อนที่เข้าถึงหน้าจอล็อกอิน เนื่องจาก Internet Explorer ตรวจสอบพบว่า Self Certificate ที่เราใช้งานนี้ไม่ได้รับรองโดย CA (Certificate Authority) ซึ่งหากเราต้องการเลี่ยงข้อความแจ้งเตือนดังกล่าวนี้ เราสามารถทำได้ 2 วิธีคือ 1.    ขอซื้อ Certificate X509 v3 ที่ถูกต้องและได้รับการรับรองจาก CA ที่มีได้รับการเชื่อถือ (Trust) ทางตรง หรือ ทางอ้อมจาก Internet Explorer (ดูที่รายการ Trust Root Certificate ในหน้าต่างปรับแต่งค่า Security ของ Internet Explorer) 2.    ไม่ใช้ SSL ของ Tomcat ทางพอร์ต 8443 และใช้พอร์ต HTTP ปกติที่หมายเลข 8080 แทน ในที่นี้จะแสดงวิธีการปรับแต่งไฟล์ idp-metadata.xml และ shibboleth2.xml แบบที่เลี่ยงการใช้งาน SSL และใช้พอร์ต HTTP 8080 ตามปกติของ Tomcat 19.1 แก้ไขไฟล์ idp-metadata.xml ไปที่โฟลเดอร์ c:\sso\shibboleth-idp\metad...
อ่านเพิ่มเติม

ตัวอย่างการเข้ารหัส AES ด้วย Java และถอดรหัสด้วย C#.NET

รูปภาพ
ตัวอย่างการเข้ารหัสแบบ AES 128 bit บน Java และ .NET 1. การทดสอบการเข้ารหัสและถอดรหัสระหว่าง Java และ .NET 1.1 การเข้ารหัสด้วย Java ให้รันไฟล์ TestEncrypt.java จะได้ผลลัพธ์ดังนี้ รูปภาพ 1 ผลลัพธ์การรันไฟล์ TestEncrypt.java สังเกตว่า cipher text ของภาษาไทยจะยาวกว่าเพราะเข้ารหัสตัวอักษรแบบ UTF8 1.2 การถอดรหัสด้วย Java ให้รันไฟล์ TestDecrypt.java จะได้ผลลัพธ์ดังนี้ รูปภาพ 2 ผลลัพธ์การรันไฟล์ TestDecrypt.java 1.3 การถอดรหัสด้วย .NET ให้รันโปรเจค Encryption จะปรากฏแบบฟอร์มดังนี้ รูปภาพ 3 แบบฟอร์มการทดสอบที่ .NET ให้ก็อปปี้ cipher text ของคำว่า Hello World จากภาพที่ 1 ที่ได้จากโปรแกรมฝั่ง Java มาแปะไว้ในเท็กบ็อกซ์ Cipher Text แล้วกดปุ่ม Decrypt จะได้ผลลัพธ์ดังนี้ รูปภาพ 4 ผลลัพธ์การถอดรหัสที่ฝั่ง .NET ได้คำว่า Hello World กลับมาถูกต้อง 1.4 การถอดรหัสคำภาษาไทยด้วย .NET ให้ก็อปปี Cipher Text ของคำว่า “ สวัสดีครับ ” มาจากผลลัพธ์ในภาพที่ 1 ของโปรแกรม Java เอามาใส่ใน .NET แล้วกดปุ่ม Decrypt จะได้ผลลัพธ์กลับออกมาเป็นคำว่า “ สวัสดีครั...
อ่านเพิ่มเติม

การรักษาความปลอดภัยแบบ OWASP

รูปภาพ
การรักษาความปลอดภัยระบบเว็บแอพพลิเคชันตามวิธีการ OWASP ความเป็นมา เนื่องจากปัจจุบันบริษัทเป็นผู้พัฒนาและส่งมอบระบบเว็บแอพพลิเคชันที่ใช้งานระดับองค์กรจำนวนหลายโครงการให้กับหน่วยงานตั้งแต่ขนาดกลางถึงขนาดใหญ่ จึงจำเป็นต้องคำนึงถึงการรักษาความปลอดภัยข้อมูลเป็นนโยบายอันดับต้น โดยแนวทางการรักษาความปลอดภัยที่ได้รับความนิยมในปัจจุบันก็คือ OWASP (Open Web Applicatoin Security Project) ซึ่งได้รวบรวมจุดอ่อนทางด้านการรักษาความปลอดภัยของระบบเว็บแอพพลิเคชันไว้จำนวนมาก พร้อมทั้งแนะนำแนวทางป้องกันที่เป็นรูปธรรม สามารถนำมาใช้ปฏิบัติได้เพื่อป้องกันไม่ให้ระบบเว็บแอพพลิเคชันเกิดช่องโหว่ และถูกจู่โจมลักลอบใช้งานหรืออาจจะถูกเข้าถึงข้อมูลและนำไปใช้โดยผู้ที่ไม่พึงประสงค์ แนวทาง OWASP จุดอ่อนทางด้านการรักษาความปลอดภัยข้อมูล 10 อันดับแรก ที่ OWASP แนะนำไว้มีดังต่อไปนี้ 1.    Cross Site Scripting 2.    Injection Flaws 3.    Malicious File Execution 4.    Insecure Direct Object Reference 5.    Cross Site Request Forgery (CSRF) 6.    I...
อ่านเพิ่มเติม